roomn 2017 harmonie technologie quand mes clients gèrent l'accès à leurs données

Spécialiste de la gestion des risques & de la sécurité de l’information

08/03/2017

‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATIONwww.harmonie-technologie.com

Quand mes clients gèrent l’accès à leurs donnéesSmart security for business identity

2

Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION

www.harmonie-technologie.com

PARTIE 1

Thomas Jolivet - Partner

Données clients/personnelles Nouveaux usages, nouveaux risques

PARTIE 2

Pierre Millot - Principal

Quelles solutions mettre en œuvre pour que mes clients gèrent l’accès à leurs données en autonomie ?

Agenda

3



Parcours de la donnée

en milieu médical

Interactions entre device et

objets connectés

Composition de services

dans l'industrie du voyage

Disruption des chaînes de valeurs Le partage des données clients permet la création de services innovants, l'amélioration de l'expérience utilisateur et sa fidélisation.

Vol Location Séjours Dîner

Acquisition Analyses Diagnostic Transmission médecin

Tablette/PC Véhicule Montre TV

4



CONTEXTES

Heures, GéolocalisationAppareils utilisés…Navigation internet

IDENTITÉ

Nom PrénomSexe, Age, Adresses…

PAIEMENTS

Cartes de créditsObjets connectésService de paiement (Paypal…)

CONTACTS

Mes amis, Mes clientsMes collègues, Ma famille,Mes followers,

ACHATS

Historiques achatsMontantsPériodesQuantités, prix…

DOCUMENTS

Données personnellesPhotos, Documents BureautiquesDocuments officiels…

75% des consommateurs préfèrent les services qui utilisent des informations personnelles pour rendre leur expérience d’achat plus pertinente.

Le faire sans l'accord des clients : risque règlementaire, risque sur la confiance, risque d'image…75%

Données clients

5



Don’t !

UBER GOD MODE

Des milliers" d'employés d'Uber auraient toujours librement accès au "God View" (ou "God Mode", le mode de Dieu), un niveau de privilège permettant d'accéder en temps réel à toutes les données personnelles d'un utilisateur

AT&THEMISPHERE PROGRAM

Pendant 8 ans, grâce à un programme intitulé « Hemisphère », le premier opérateur US, AT&T, a enregistré et revendu aux autorités, les données provenant des SMS, historiques d’appels ou conversations Skype de ses clients.

POKEMON GOPLAYER TRACKING

"Le processus d'acquisition de données doit être divertissant pour assurer un engagement de l'utilisateur sur le long terme. Nous sommes convaincus que l'amusement et le fun sont un élément clé d'un tel service de collecte"

John Hanke

6



Opportunités à encadrer

Les clients partagent volontiers leurs données quand les bénéfices pour eux sont clairs et que cela n'est pas fait à leur insu

Le partage de donnée, la corrélation d'information, le transfert de contexte… permettent aux entreprises innovantes de créer de la valeur

Les Contraintes réglementaires poussent à la fois l'ouverture des données (DSP2) et l'encadrement des traitements sur les données personnelles (GDPR ).

Comment permettre aux clients de faire ce partage de données demanière consciente et en toute confiance ?

Comment tirer de la valeur de ce partage en respectant la règlementationet en renforçant la confiance ?

7



PARTIE 2 / Solution

Quelles solutions mettre en œuvre pour que mes clients gèrent l’accès à leurs données en autonomie ?

8



De nombreux services, encore souvent silotésROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE

▪ Les services proposés aux clients s’enrichissent de nombreux services partenaires

▪ L’ensemble de ces services manipulent des données client, de différent niveaux de sensibilité

▪ Les services sont également accédés par des applications non maitrisées par la banque

▪ Le plus souvent, l’utilisateur ne connait plus les autorisations consenties dans les conditions d’utilisation du service, et ne peut plus revenir dessus

ServicesB.A. Banque

Partenaires

API

• FinTechOpen Banking

• DSP2Gérer mes comptesB.A. Bank

AssuranceCrédit

Bankin

Loisirs RentMyHomeCompte RentMyCarEpargne Placement Coffre-fort doc.

Mauvaises pratiques

▪ Partage dissimulé dans les conditions d’utilisation : relation de confiance en risque

▪ Opportunité non exploitée

9



Une relation de confiance basée sur le contrôle donné au clientROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE

Bénéfices client

▪ Meilleur lisibilité, Approche Facebook sur les applications autorisées à accéder à mes données

▪ Capacité à révoquer des accès, en cas d’application désinstallée, portable volé, résiliation service partenaire

ServicesB.A. Banque

Partenaires

Epargne Placement Crédit Assurance

API

Coffre-fort doc.

Bénéfices B.A. Banque

▪ Consolider la relation de confiance avec le client, en lui assurant le contrôle sur l’utilisation de ses données

▪ Faciliter la conformité règlementaire GDPR

LoisirsCompte RentMyHome RentMyCar

Gérer mes comptesB.A. Bank Bankin

10



Contrôle de l’accès à mes données Scénario 1/3 (standard UMA)ROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE

ServicesB.A. Banque

Partenaires


API

Coffre-fort doc. Loisirs RentMyCarCompte

▪ 1er scénario : le propriétaire autorise un service qu’il utilise à accéder à ses données

a. Le service hébergeant les données les déclare au niveau du service d’autorisation

b. Le service consommateur sollicite l’accès aux données

c. Le propriétaire est sollicité pour autoriser ou refuser l’accès à ses données

d. Avec l’accord du propriétaire, le service d’autorisation délivre un jeton d’accès au consommateur

e. Le service consommateur accède aux données depuis le serveur les hébergeant

Service d’autorisation

Propriétaire

Service hébergeant les données

AutoriseRefuse

Révoque

Demande l’accès

Protègel’accès

RentMyHome

Service consommateur

• UMA permet de protéger de multiples services internes ou partenaires

• Le consentement peut être demandé lors de l’accès• Autorisation/révocation un terminal

11




ServicesB.A. Banque

Partenaires


API


▪ 2ème scénario : le propriétaire des données autorise un tiers à accéder à ses données

a. Le propriétaire accorde l’accès à certaines données à un bénéficiaire

b. Le service hébergeant les données les déclare au niveau du service d’autorisation

c. Le service consommateur sollicite l’accès aux données, pour le compte du bénéficiaire

d. Selon la règle d’accès existante, le service d’autorisation délivre un jeton d’accès au service consommateur

e. Le service consommateur accède aux données


Propriétaire

AutoriseRefuse

Révoque

Protègel’accès

RentMyHome

Bénéficiaire


Demande l’accès


• Accès consenti au préalable• Accès temporaire ou

persistent

12




ServicesB.A. Banque

Partenaires


API


▪ 3ème scénario : un délégué gère l’accès aux données du propriétaire

a. Le service hébergeant les données les déclare au niveau du service d’autorisation

b. Le service consommateur sollicite l’accès aux données

c. Le délégué est sollicité pour autoriser ou refuser l’accès aux données du propriétaire

d. Avec l’accord du délégué, le service d’autorisation accorde un jeton d’accès aux données

e. Le service consommateur accède aux données


Délégué

AutoriseRefuse

Révoque

Demande l’accès

Protègel’accès

RentMyHome

Propriétaire



13



Le standard UMA et les acteurs impliquésROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE

14



1 Le consentement de l'accès aux données réconcilie confiance et création de valeur

2 Le standard UMA, basé sur le protocoleOAuth 2, offre une solution ouverte

3Certains acteurs fondent leur Business Model uniquement sur la valorisation des données personnelles

En conclusion

15



Avez-vous des questions ?

Merci de votre attention !www.harmonie-technologie.com

roomn 2017 harmonie technologie quand mes clients gèrent l'accès à leurs données

Technology